PAM ESM モジュールのカスタム構成情報

PAM ESM モジュールでは、[Configuration Information] フィールドのテキストを編集して設定できる追加の構成がサポートされています。この領域のテキストはセクションで構成されており、各セクションは、角かっこで囲まれたタグで始まり、その後に name=value という形式の行が続きます。

さまざまな構成セクション、および各セクションで設定できるオプションを次に示します。

[Operation] セクション

maxgroups=number

[Use all groups] モードでサポートされるユーザー グループの最大数を設定します。この値は、リージョンにサインオンするユーザーを含むグループの数以上にする必要があります。デフォルト値は 64 で、最大値は 9999 です。この値を大きくすると、共有メモリの消費量が増え、承認要求の処理時間が長くなります。Micro Focus では、この値を指定したユーザー グループの実際の数に近い値に保つようお勧めしています。[Use all groups] オプションがオンになっていない場合は効果がありません。

注: セキュリティ構成で複数の PAM または MLDAP ESM (あるいはその両方) が積み重ねられている場合は、フェデレーションを明示的に無効にしていない限り、maxgroups の設定を同じにする必要があります。
process groups=yes|no
no に設定すると、グループのすべての処理が無効になります。有効になっている場合、PAM ESM モジュールは標準の Linux/UNIX API を使用して、ユーザーが属するオペレーティング システム ユーザー グループのセットを判別しようとします。グループ メンバーシップは PAM の機能ではありません。[Use all groups] オプションがオンの場合、グループはユーザーのグループ リストに追加されます。[Use all groups] がオフで、ユーザーがサインオン グループを指定している場合、モジュールはユーザーがそのグループに属していることを確認し、それに応じて ACEE グループを設定します。それ以外の場合、ACEE グループはユーザーのデフォルト グループに設定されます。

デフォルト値は yes (有効) です。

[Passtoken] セクション

enable=yes|no|self

このセキュリティ マネージャーがパストークンをサポートするかどうかを制御します。yes に設定すると、ユーザーごとのパストークンおよび代理パストークンが有効になります。no に設定すると、すべてのパストークンが無効になります。self に設定すると、ユーザーごとのパストークンのみが有効になります。デフォルト値は no です。

注: あるセキュリティ マネージャーでパストークンが無効になっている場合でも、別のマネージャーがパストークンを提供することがあります。
secret=string

ESM モジュールによって生成された ESF パストークンでメッセージ認証コード (MAC) のキーとして機能するシークレット データを設定します。これにより、このデータを知らない攻撃者はパストークンを捏造できなくなります。

注: ここで設定した内容は、MFDS リポジトリを読み取ることができる人物にとっては秘密となりません。

この値を設定する場合は、パストークンを交換するすべてのセキュリティ ドメイン (MFDS および ES リージョン) で同じ値に設定する必要があります。

secretfile=path
パストークン MAC のシークレット データを含むファイルのパスを設定します。これは、構成でシークレット データを直接設定するよりも安全です。secretfile が設定されている場合、Secret 指令は無視されます。どちらも設定されていない場合は、組み込みのデフォルトが使用され、安全性が低くなります。
duration=seconds
パストークンの持続時間を秒単位で設定します。トークンは、生成後、この期間だけ有効になり、それ以降は拒否されます。デフォルト値は 60 秒です。
table size=size

パストークンの格納に使用するテーブルのサイズを設定します。多要素認証にパストークンを使用する場合、このテーブルは同時にログオンする最大ユーザー数よりも大きくする必要があります。デフォルト サイズは 64 です。

注: サイズを増やすと、メモリ消費も増えるため、パフォーマンスが低下します。
short passtoken reuse=yes|no
多要素認証に使用される短いパストークンを、duration オプションに基づく有効期限が過ぎるまでに 1 回だけ使用できるか複数回使用できるかを設定します。デフォルト値は no です。

[Trace] セクション

Config=yes|no
これを yes に設定すると、セキュリティ マネージャーの [Configuration Information] フィールドで指定した有効な構成設定ごとにメッセージが発行されます。これは、監査およびデバッグの目的で使用できます。デフォルトでは、このオプションは no に設定されています。
Conversation=setting
PAM ESM モジュールと PAM プロバイダーの間の相互作用である PAM 対話の処理に関するさまざまなメッセージをログ記録します。この値が「y」で始まる文字列または「1」に設定されている場合、ESM モジュールは、対話コールバックが呼び出されるたびにログ メッセージを作成します。
Conversation errors=setting
PAM 対話の処理中に受信したエラー メッセージおよびコードをログ記録します。この値が「y」で始まる文字列または「1」に設定されている場合、ESM モジュールは、PAM エラーに関する追加情報を示すログ メッセージを作成します。PAM エラーが原因で Verify 操作が失敗するか、該当する ESF 戻りコードで拒否されますが、デフォルトでは正確な詳細はログ記録されません。
Groups=setting
ユーザー グループの処理に関するさまざまなメッセージをログ記録します。この値が「y」で始まる文字列または「1」に設定されている場合、ESM モジュールは、Verify 時にユーザーがグループに所属していると判断した際にログ エントリを作成します。これは、[Use all groups] がオンになっている場合に問題をデバッグする際に役立ちます。
TraceN=rule

フィルター処理されたトレースのルールを定義します。フィルター処理されたトレースを使用すると、トレース ルールで定義されている一連の条件を満たす要求のみをトレースできます。この名前のN は、Trace1、Trace2 のように、1 から 8 の数字 (フィルター処理されたトレース ルールの最大数) になります。ルールは順不同で指定でき、数字を飛ばすこともできますが、1 から 8 の範囲内かつ一意である必要があります。

トレース ルールの形式は次のとおりです。

function:actor:result

詳細は次のとおりです。

function
PAM ESM モジュールが提供する機能は verify だけです。
actor
ユーザー名です。ワイルドカードを使用できます。
result
次のいずれかの値になります。
  • allow
  • deny
  • unknown
  • fail
  • any
  • debug

要求は、ルールのすべての条件が満たされている場合にトレースされます。トレースとは、要求に関する 1 つ以上の情報メッセージがログに書き込まれることを意味します。result に debug を設定した場合は、(any と同様に) 任意の結果に基づいてログ記録されますが、function および actor と一致する要求の処理時には追加情報が記録されることがあります。

次に例を示します。

verify:SYSAD:deny

この場合は、SYSAD ユーザーが拒否された Verify (サインオン) 要求をトレースします。

フィルター処理されたトレースは、通常のトレースでは過度の出力が生成される負荷の高いシステムで問題を分離するために使用できます。この機能では、各要求についてトレース ルールと一致するかどうかを調べる必要があるため、パフォーマンスが影響を受けます。

Verify=setting
Verify 要求の処理に関するさまざまなメッセージをログ記録します。この値が「y」で始まる文字列または「1」に設定されている場合、ESM モジュールは、各 Verify 要求に関する追加情報を示す 1 つ以上の情報ログ エントリを作成します。
上位ヘルプ: PAM ESM モジュール